На Sun, 8 Feb 2009 23:44:54 +0300 Alexey Pechnikov <[email protected]> записано:
> Hello! > > В сообщении от Sunday 08 February 2009 18:30:37 Alexander GQ Gerasiov > написал(а): > > > Кто держит репозиторий, тот за него и отвечает. Пусть даже это > > > зеркало. > > > > Вот знаешь, если вдруг у меня под боком окажется _твое_ зеркало > > какого-либо нужного мне репозитория, я предпочту, чтобы за него > > отвечал хозяин того репозитория, а не хозяин зеркала (то бишь ты). > > Вроде как речь шла о зеркале _для себя_. Впрочем, и в случае > корпоративной сети за пакеты должен отвечать местный админ, а отнюдь > не Мариллат или кто-то еще (хотя это уже скорее должен быть свой > репозиторий, а не зеркало). Зеркало для себя? Тогда тем более непонятно, зачем его подписывать своим ключом. Объясни мне, ты в состоянии проверять каждый пакет, который зеркалируешь, и ручаться за него своей подписью? И стоит ли твоя подпись того, чтобы ставить этот пакет? Или вся твоя проверка будет сводиться к тому, что ты проверишь, что пакет действительно подписан подписью debian ftp-archive или debian-backports? Тогда нахрена мне (да и кому бы то ни было еще) твоя подпись? Это же лишнее звено, которое потенциально уязвимо значительно сильнее, чем ключ архива Дебиан. Ты же наверняка относишься к этому наплевательски (потому что из твоих слов видно, что ты плохо представляешь себе всю инфраструктуру и ее смысл) и наверняка хранишь свой приватный ключ на публичной машине, подключенной к сети, да еще может и без пассфрейза. Попробуй вначале ответить на вопрос "Что удостоверяет подпись релиз файлы на зеркале?" Какой в ней смысл? -- Best regards, Alexander GQ Gerasiov Contacts: e-mail: [email protected] Jabber: [email protected] Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
